LIZARD Ransomware
Trusselscorekort
EnigmaSoft Threat Scorecard
EnigmaSoft Threat Scorecards er vurderingsrapporter for forskellige malware-trusler, som er blevet indsamlet og analyseret af vores forskningsteam. EnigmaSoft Threat Scorecards evaluerer og rangerer trusler ved hjælp af adskillige metrics, herunder virkelige og potentielle risikofaktorer, tendenser, frekvens, udbredelse og persistens. EnigmaSoft Threat Scorecards opdateres regelmæssigt baseret på vores forskningsdata og metrics og er nyttige for en bred vifte af computerbrugere, fra slutbrugere, der søger løsninger til at fjerne malware fra deres systemer, til sikkerhedseksperter, der analyserer trusler.
EnigmaSoft Threat Scorecards viser en række nyttige oplysninger, herunder:
Rangering: Rangeringen af en bestemt trussel i EnigmaSofts trusseldatabase.
Sværhedsgrad: Et objekts fastlagte sværhedsgrad, repræsenteret numerisk, baseret på vores risikomodelleringsproces og forskning, som forklaret i vores trusselsvurderingskriterier .
Inficerede computere: Antallet af bekræftede og formodede tilfælde af en bestemt trussel opdaget på inficerede computere som rapporteret af SpyHunter.
Se også Kriterier for trusselsvurdering .
| Trusselsniveau: | 100 % (Høj) |
| Inficerede computere: | 12 |
| Først set: | July 24, 2009 |
| Sidst set: | April 19, 2021 |
| Berørte operativsystemer: | Windows |
Analyse af LIZARD Ransomware viste, at truslen næsten er identisk med LANDSLIDE Ransomware-malware. De vigtigste aspekter, der adskiller LIZARD Ransomware bortset fra LANDSLIDE Ransomware, er de to e-mail-adresser, der bruges som en kommunikationskanal, og filtypen tilføjes til alle krypterede filers navne.
Brugere, der er inficeret med LIZARD Ransomware, finder ud af, at næsten alle deres filer, der er gemt på den kompromitterede computer, nu har drastisk forskellige navne. Faktisk bruger ransomware-truslen et komplekst navngivningsmønster for de filer, den påvirker. Først placerer den foran det originale navn en e-mail-adresse - 'DeathSpicy@yandex.ru' efterfulgt af en række tegn, der repræsenterer det unikke ID, der er tildelt offeret. Samtidig tilføjes '.LIZARD' som en ny filtypenavn. Efter afslutningen af krypteringsprocessen opretter LIZARD Ransomware to filer - '# ReadThis.HTA' og '# ReadThis.TXT', der indeholder teksten i trusselens løsesumnote.
Ofre for LIZARD Ransomware får at vide, at de bliver nødt til at betale en løsesum ved hjælp af Bitcoin for at modtage dekrypteringsværktøjet fra hackerne. Noten nævner ikke det nøjagtige beløb, som kriminelle har krævet. Før de foretager betalingen, får de berørte brugere en chance for at sende en enkelt fil, der er mellem 100 og 200 KB i størrelse, der skal dekrypteres gratis. For at gøre dette skal de sende en besked til den e-mail-adresse, der også findes i de krypterede filers navne. Hvis 24 passerer uden at få noget svar, skal brugerne skifte til at sende en mail til en reserve-e-mail-adresse på 'DeathSpicy@tutanota.com.'
Den fulde tekst i LIZARD Ransomware's note er:
'Din SERVER / COMPUTER er krypteret af os! _
Hej administrator / gæst!
[ENCRYPTER] => Alle dine data krypteres af os ..
[ENCRYPTER] => Dit unikke server-id: [-]
[ENCRYPTER] => Vil du dekryptere dine data?
[ENCRYPTER] => For at stole på os, send os først en 100-200 KB fil,
vi dekrypterer det for at skabe tillid til dig.
[AFTERTRUST] => Hvad skal du gøre, når du har opbygget tillid?
Hjælp
(
Alle dine data er krypteret,
Hvis dine data er vigtige, og du vil dekryptere dem,
Du skal betale det bitcoin-beløb, der er indstillet af os,
Send først en besked til vores e-mails, efter prisfastsættelse, os og din tillid,
Foretag en Google-søgning for at købe bitcoins,
For eksempel: "Køb bitcoins i rubler".
Efter køb af Bitcoin skal du
overfør Bitcoin til vores tegnebog,
Efter betaling sendes dekrypteringsværktøjet til dig
sammen med hvordan man udfører det korrekt
)
ENCRYPTER @ server ~ $ For at kontakte os, send først en besked til vores første e-mail.
[FiRsT-e-mail:] DeathSpicy@yandex.ru
ENCRYPTER @ server # Hvis din e-mail ikke besvares efter 24 timer, kan vores e-mail muligvis blive blokeret.
Så send en besked til vores anden e-mail.
[SeCoNd-e-mail:] DeathSpicy@tutanota.com
King of Ransom
LIZARD Løb $ omW4rE. '
aliasser
4 sikkerhedsleverandører markerede denne fil som ondsindet.
| Antivirus software | Opdagelse |
|---|---|
| McAfee-GW-Edition | Trojan.Clicker.Delf.CT |
| Ikarus | Trojan-Clicker.Delf.CT |
| AntiVir | TR/Clicker.Delf.CT |
| a-squared | Trojan-Clicker.Delf.CT!IK |
Detaljer om filsystem
| # | Filnavn | MD5 |
Detektioner
Detektioner: Antallet af bekræftede og mistænkte tilfælde af en bestemt trussel, der er opdaget på inficerede computere, som rapporteret af SpyHunter.
|
|---|---|---|---|
| 1. | diskperff.dll | 0be52be18a8508b65f33e704b3e63242 | 0 |
